第13天:PHP开发-个人博客项目文件操作类编辑器上传下载删除读写

第13天:PHP开发-个人博客项目&文件操作类&编辑器&上传下载删除读写

1645081169462-429bbf3d-4188-457c-bdb3-89decc646901.png

#知识点:
1、文件操作类代码编写
2、文件上传&下载&删除
3、文件内容&读取&写入
4、第三方编辑器引用实例

  • 小迪博客-文件操作&上传&下载&删除&读取&写入等

#文件上传类:-任意文件上传
1、代码自主写
自己写文件上传和文件处理代码,进行自写代码进行上传。过滤完全需要考自己的代码是否严格。
自己写代码上传HTML:

1645081269585-1a9bb2e6-5437-4ac7-95f0-d55aa55f2541.png

自己写代码接受PHP:

1645081290320-67751d8b-9276-46cc-b053-53efeb1b5109.png

处理文件:

1645081312666-9f61d6a4-f711-4910-ba1a-b20bf61f2e15.png

2、编辑器引用
引用编辑器上的代码进行上传,网上有相关代码。编辑器如果有漏洞,那么上传就会出现漏洞。
不是网站代码去验证,而是编辑器去验证。核心代码在 编辑器里面,不在代码里面。
调用模块:

1645081351868-9dcf2eac-67ef-41e1-9e13-af35042985ea.png

3、框架引用(跟编辑器差不多原理)
总结:
1.自卸代码验证上传,验证核心在代码
2.引用的外部编辑器实现,验证核心在编辑器里
3.一弄开发框架实现,验证核心在框架里
#文件下载类:-任意文件下载
1、直连URL访问
http://www.xiaodi8.comm/soft/软件.zip
这种下载是安全的
2、传参头部修改
http://www.xiaodi8.comm/soft/down.php?filename=软件.zip
两种区别:

1645081426168-36151b82-fedb-492e-8a59-c4f3a4bf0cbf.png

获取目录:

1645081456163-933a347b-13e2-42d1-8937-2be8a7f04dd4.png

下载:

1645081482441-53b695d9-25fb-4216-a105-b793130474b2.png

#文件删除类-任意文件删除
1、文件删除
2、文件夹删除

#文件内容操作类-任意文件读取&写入
1、文件读取
2、文件写入

#文件包含-任意文件包含
包含即执行,以脚本执行
1、本地文件包含

2、远程文件包含
 
Web漏洞核心:
1、可控变量
2、特定函数-函数的多样化
posted @ 2023-09-10 22:45  解放者-cracer  阅读(103)  评论(0)    收藏  举报